勒索軟體OOXX – 林品儒 105/9/22 – 原理簡介



勒索軟體OOXX – 林品儒 105/9/22 – 原理簡介

0 0


ransomware

http://www.ntnucic.club/ransomware/

On Github NTNUCIC / ransomware

勒索軟體OOXX

林品儒 105/9/22

試想以下情境

[問卦] 有沒有mp3檔打不開的八卦

[爆卦] 收信後副檔名都變成.obov了

[超幹] 比特幣是在漲三小喇幹

勒索軟體

相信各位都有聽過如此慘劇

只是收了信下載個東西

文件照片都打不開惹

此為何物

惡意軟體阻斷電腦使用以獲取贖金

從加密檔案到綁架系統

使用比特幣隱藏身份

近年來越發盛行...

原理簡介

利用瀏覽器或外掛套件漏洞下載檔案

遠端執行或註冊該檔案開機啟動

對目標檔案或是硬碟進行加密

告知被害者回復方法並要求贖金

Exploit

利用漏洞進行攻擊取得控制權

遠端執行任意代碼

取得超級使用者權限

繞過RAR加密

漏洞攻擊

漏洞

瀏覽器漏洞

外掛套件漏洞

服務漏洞

瀏覽器漏洞

三巨頭IE,Google Chrome,Firefox

當然會對市佔率高的為重點攻擊

還會搭配外掛套件漏洞

IE

不是我要拿它出來鞭

我相信還有很多人用IE6

而且這種人還不會開更新...

其他版本依舊QQ

外掛套件漏洞

Flash,Java,QuickTime...

平台支援性使之成為攻擊目標

還有跨平台的漏洞存在

Flash

Chrome和Firefox已經開始封殺Flash

各家都在痛罵其漏洞百出

也被利用來製作惡意廣告

能停用就停用...

服務漏洞

這是對伺服器進行的攻擊

一般人比較不用擔心

要注意服務套件的設定及漏洞

Magento

電商服務軟體

因為網頁編寫產生遠端執行漏洞

對Linux伺服器攻擊

遠端執行

遠端執行

在非本機的電腦執行想要的指令

用來下載惡意程式以及啟動

對伺服器則是上傳檔案後使其執行

利用方法

內部API誤用外部給予的輸入

緩衝區溢位

提權

取得最高權限使操作不受限制

搭配遠端執行更為可怕

可以更改系統設定

加密

加密方法

對稱式加密

非對稱式加密

兩者混用

加密大小

檔案標頭

全部加密

檔名加密

MFT加密,MBR更改

要求贖金

比特幣

不易追蹤而用來做交易目標

贖金大約15K~20K台幣

現在大約1:20k

分成兩種路線

賣名聲的

撕票

賣名聲的

畢竟還是要賺錢的還是希望你付錢

花錢消災百病全消

撕票

付了錢檔案卻解不開

一般是你沒付錢才會撕票

偶有騙人的勒索軟體會撕票

只能幫QQ

簡略介紹

無法全部介紹

實在太多種類了

只拿知名或兇狠的來介紹

Petya

加密MFT讓檔案與磁區對應失效

更改MBR而無法使用作業系統

所以我還有Ext4資料碟...

Crypz

被放在Yahoo首頁並攻擊Flash外掛

非IE系未更新Flash一樣看到就中鏢

RSA4096加密以及更改.crypz副檔名

CryptoLocker

恭喜你得到免費iphone6s

本體已經被破解

仍有其他變種流竄

Cerber

有各種不同種類的變體

還會搭配Office巨集進行攻擊

勒索病毒即服務(RaaS)

防範方法

系統更新

維持系統以及應用程式更新可以降低中標率

特別注意資訊不足的族群

他們可能還在用XP和IE

開啟UAC

Win7以後系統建議開啟

開啟可以擋掉部份攻擊

看到奇怪的系統變更請按否

Linux還要打密碼捏...

停用外掛

Flash已經是各路半人馬人馬攻擊對象

建議可以完全停用Flash,Java等外掛套件

現在技術多已轉移到HTML5

防毒軟體

都用Linux忘記它的存在

使用Windows就裝個防毒軟體吧

會中的還是會中...

異地備份

避免檔案被加密後的錐心刺骨

光是本機和雲端備份還不夠

雲端若有同步也會被加密

1張光碟放不下你有燒第2張嗎

逃離M$魔掌

Linux市佔率低安全性高

可以說家用Linux不會中毒

下載的檔案無法直接執行

建議可以幫高危險族群灌Linux

剁手指

大部份系統的弱點都在人上面

培養安全常識才能辨識可疑的事物

很多時候中鏢都是因為手賤...

請大頭控制好手指頭

各位是否更認識勒索軟體

記得預防勝於治療

勒索軟體OOXX 林品儒 105/9/22